Arquivo da tag: segurança da informação

Qual o limite de Compliance nas empresas? Você pratica as três linhas de defesa?

Difícil identificar o limite, mas tenho visto muitos profissionais assumindo atividades que se misturam com o operacional, mas será que esta correto? E será que somente o Compliance deve reportar-se ao Conselho de Administração? Afinal, Controles Internos, Riscos e Segurança da Informação são partes integrantes da validação de processos de conformidade, mas em algumas empresas reportam a um diretor especifico, será que não devemos mudar a forma de reporte de informações?

Segundo o IIA – International Internal Audit, na sua Declaração de Posicionamento: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES, determina que:

“O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.”

“Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta administração. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização.”

Portanto devemos avaliar nossas funções de gestão de Compliance, Controles Internos e Riscos dentro do negócio, mas o principal foco deve ser o negócio, afinal quanto mais conhecermos melhor serão nos processos de suporte, apoio e monitoramento, mais uma vez digo e repito, não basta criar normas e procedimentos, devemos nos certificar que as regras estão sendo seguidas, este é o principal desafio.

A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente, é também responsável em identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.

Mas se as responsabilidade não forem implementadas no modelo em cascata, onde os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos.

Em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficaz dos riscos. Mas no mundo real, no entanto, uma única linha de defesa pode, muitas vezes, se provar inadequada. A Gestão de Compliance, Controles Internos, Controles Financeiros, Segurança da Informação e Riscos estabelecem diversas funções de gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa.

Os auditores internos são parte integrantes do processo de controles internos, afinal fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa. A auditoria interna provê avaliações sobre a eficácia da governança e o Compliance, Controles Internos e Riscos são responsáveis pela eficiência do negócio, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.

Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem “compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços”.

  • Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa.
  • Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
  • Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a eficácia.
  • As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de forma eficiente.
  • As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua eficácia.
  • Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser aconselhado a respeito da estrutura e seu impacto.
  • Em organizações que ainda não tenham uma atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. 

Base de pesquisa: The Institute of Internal Auditors (IIA), Criado em 1941, é uma associação profissional internacional, com sede global em Altamonte Springs, Flórida, EUA. O IIA é o líder reconhecido, principal defensor e educador em auditoria interna.

Por que os Controles Internos ainda não funcionam?

Impressionante a cada ano que passa quando você acredita que as coisas mudam, aparece alguém comentando a dificuldade que tem para implementar controles internos e o “tal” de compliance, pois existem pessoas que não entenderam ainda que é um caminho sem volta, temos que implementar isso na gestão das empresas.

Recebo muitos relatos de alunos, parceiros de trabalho e de profissão, onde com detalhes tristes, demonstram como as organizações ainda precisam melhorar neste aspecto.

Nós profissionais de controles internos, compliance, riscos, segurança da informação e auditoria são lembrados somente quando algo dá errado, uma fraude acontece, um escândalo aparece na mídia, mas será que esse é o caminho?

E como já venho alertando que as pessoas mesmo sabendo que existem regras, procedimentos e obrigações, estão cada vez mais arredias e sem postura para respeitar as normas internas das empresas.

Segundo o COSO 2013: “A organização deve implantar atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática políticas.”, portanto devemos fazer com que todos nas organização respeitem, mas aí é que mora o problema.

Outro dia ouvindo o caso da Petrobras (Refinaria da Pesadena), o apresentador fez uma referência da seguinte forma: “Onde estavam os controles internos e auditoria neste processo?”

Vou responder, estão no mesmo lugar de sempre, mas ninguém (na maioria) consulta compliance, riscos, controles internos e auditoria antes de realizar o negócio, pois dizem que só inviabilizamos os projetos com regras, mas quando ocorrem os descumprimentos da legislação e regras, perguntam por que não vimos isso…

Por mais que as empresas implementem metodologias de trabalhos, alguns profissionais insistem em não seguir e cumprir, e seguem seus “próprios caminhos”, mas como podemos mudar esta postura?

Mudando a postura de quem manda, de quem tem poder de gestão, da alta administração, por esse motivo o profissional de controles internos, compliance, riscos, segurança da informação e auditoria necessitam incorporar uma boa parte de psicologia, para que possamos sobreviver neste no cenário, onde muitos acham que sabem tudo e poucos conseguem convence-los que não sabem, é tudo uma questão de conjunto, esforço coletivo e trabalho em equipe, e que mesmo assim temos vários obstáculos, imagine quem não faz, quantos problemas tem.

Acredito que chegou a hora de implementarmos uma postura mais incisiva na gestão, fazer cobranças de melhorias e sempre que possível exemplificar com casos reais de perdas financeiras, imagem e reputação, pois somente assim poderemos sensibilizar os gestores a levarem mais a séria s gestão de controles internos, e minimizar perdas causadas por eles mesmos, com seus abonos e exceções nos processos.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Controles Internos, Compliance e Gestão de Pessoas

Há algum tempo venho me deparando que as pessoas mesmo sabendo que existem regras, procedimentos e obrigações, estão cada vez mais arredias e sem postura para respeitar as normas internas das empresas.

Por mais que as empresas implementem metodologias de trabalhos, alguns profissionais insistem em não seguir e cumprir, e seguem seus “próprios caminhos”, e se você comenta alguma coisa, ficam irritados e começam a dar “piti” (ataque histérico), abandonam projetos, trabalhos e processos, por que foram contrariados.

As empresas tem sofrido muito com as postura de alguns profissionais da geração Y, existem até estudos para entender melhor o processo de gestão de pessoas, mas tem marmanjo que é pior que os meninos, falta maturidade profissional.

Outro problema enfrentado pelos profissionais de controles internos, compliance, riscos e segurança da informação, é o tal do BYOD (Bring Your Own Device), isto significa que os funcionários estão usando tablets e smartphones no seu dia a dia e querem trazê-los para seus ambientes de trabalho.

Segundo Cézar Taurion, Gerente de novas tecnologias da IBM Brasil, “o BYOD libera os funcionários para usar os dispositivos que mais os agradam para a realização das suas tarefas profissionais. Como os consumidores finais estão hoje à frente da vanguarda tecnológica, as empresas perceberam que é muito mais negócio abraçar essa ideia do que proibir. Afinal, elas não podem fechar os olhos para esta tendência, que segundo analistas de mercado, é impossível de bloquear.

Como reagir diante deste novo cenário? O setor TI não é mais dono do ambiente tecnológico dos usuários. O tradicional paradigma da homologação e definição por TI do que pode ou não entrar na empresa já não vale mais. Como fazer frente a este tsunami?”

Quando falamos de tecnologia, podemos dizer que é até compreensível, mas para as tarefas de trabalho do dia-a-dia, é complicado, e por mais que orientamos, parece que mais complicado fica, e segundo um dos componentes do COSO (Committee of Sponsoring Organizations of the Treadway Commission), indica a tal de informação e comunicação, ferramenta de suma importância, mas será que as pessoas estão preparadas para ouvir, ou só ouvem aquilo que interessa?

Portanto hoje o profissional de controles internos, compliance, riscos e segurança da informação necessitam incorporar uma boa parte de psicologia, para que possamos sobreviver neste no cenário, onde muitos acham que sabem tudo e poucos conseguem convence-los que não sabem, é tudo uma questão de conjunto, esforço coletivo e trabalho em equipe, e que mesmo assim temos vários obstáculos, imagine quem não faz, quantos problemas tem!!!

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA de Gestão de Riscos e Compliance e Gestão Tributária na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Lamentos de um Compliance Officer

Em 2011 publicamos um artigo intitulado a “Dura vida de um compliance”, e uma pergunta não quer calar, mudou muita coisa? Acredito que evoluímos muito, digo nós profissionais de compliance, mas no que tange à gestão…

Outro dia mesmo um possível cliente me perguntou: “o que um compliance faz?” e “eu preciso implementar isso aqui na minha empresa?

A resposta foi simples, quem são seus clientes, fornecedores, investidores e existem órgãos reguladores que norteiam seu negócio? Pois atualmente muitas empresas estão contratando produtos e serviços e exigem que seus parceiros de negócios tenham políticas internas de compliance implementadas, deixou de ser moda é realidade.

E o compliance officer tem a função de exercer o compliance, fazer com que a organização tenha como foco, estar em compliance e ser compliance, por isso este profissional passa boa parte do tempo na busca da tal falada conformidade de leis, regulamentos e normas internas, e em certos casos “lembrando” ao gestor o que ele deve fazer por isso muitos não aceitam este profissional como deveriam.

Agora é muito chato ter que evidenciar aquilo que a pessoa já está cansada de saber e de fazer, por isso é tão desgastante, mas deve ser feito por alguém.

Quanto mais o tempo passa, mais aumenta o desafio, afinal é fato que as pessoas tem aversão a controles, e muito só se movimentam quando cobrados, será que precisa ser sempre assim?

Falar em certificações é sensacional, sejam elas ISO 27000, ISO 20000, ISO 31000, COBIT, ITIL entre outras, devemos é fazer a gestão, evidenciar que a certificação é uma validação de seus estudos, devemos colocar em pratica aquilo que aprendemos, pois somente com ações e atitudes bem definidas, seja dos profissionais de controles internos, compliance, segurança da informação, riscos e auditoria, e engajar os gestores, administradores e conselheiros na excelência da conduta e na ética, e que possamos atender a principal regra dos negócios, a honestidade, palavra simples e complicada de se aplicar no mundo de hoje, mas ainda existe esperança, vale lembrar que muitas leis estão sendo publicadas na intenção que as posturas sejam modificadas para o bem.

Então chegamos a conclusão que o compliance officer tem o que lamentar, mas estamos na busca pela melhoria dos processos e na gestão dos negócios, mas sempre tendo como princípios as boas condutas e práticas negociais e sempre que possível atendendo as regras dos órgãos reguladores sejam eles nacionais e internacionais, sem contar as demandas de nosso clientes, acredito que vamos mudar o jeito de ver a atividade de compliance e controles internos.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Por que temos aversão ou medo de mudanças corporativas e organizacionais?

Aversão e medo de mudanças são comuns, mas podemos criar possibilidade de alteração no jeito de agir e pensar das pessoas, mas não é uma tarefa tão simples, e apresentamos alguns pensamentos e avaliações de especialistas renomados, portanto segundo Mark Twain, algumas das principais razões da aversão das pessoas às mudanças são: Medo; Sentimento de incapacidade; Necessidade de grande esforço; e Ausência de interesses pessoais.

E ainda segundo Daryl R. Conner em seu livro “Managing at the speed of Change”, comenta sobre o comportamento das pessoas frente à mudança, segundo levantamento do autor:

  • 10% Aceitam de imediato
  • 20% Aceitam com um pouco de convencimento
  • 40% Aceitam com muito convencimento
  • 30% Só aceitam depois que a mudança foi bem sucedida

Muitos devem estar se perguntando, então como podemos ser agentes destas mudanças, solução pré-fabricada não existe, mas existem profissionais com grande estimulo e vontade de profissionalizar a sua organização, então abaixo apresentamos algumas sugestões:

Os dirigentes e/ou gestores devem assumir papéis positivos dando o tom de sua conduta e se possível criar novas histórias, símbolos e rituais para substituir os atuais.

Devemos entender melhor o negócio e selecionar, promover e apoiar profissionais que adotam os novos valores e mais uma vez mudar ou alinhar o sistema de recompensas para que tenha coerência com os novos valores.

A grande missão é substituir normas não escritas por novas regras e regulamentos específicos e promover as subculturas com transferências de pessoas, rotação de cargos e/ou demissões, se assim se fizerem necessários.

Trabalhar com o consenso de grupos utilizando a participação dos funcionários/colaboradores e a criação de um clima de alto nível de confiança.

Em “O Principe” de Maquiavel:

“Nada é mais difícil de realizar, mais perigoso de conduzir, ou mais incerto quanto ao êxito, do que uma nova ordem das coisas, porque a inovação tem como inimigos todos os que prosperaram sob as condições antigas e, como tímidos aliados, os que podem se dar bem nas novas condições.”

E atualmente vivemos uma nova ordem das coisas, mudança de paradigmas, posturas, culturas e buscar alinhar o negócio com a inovação e sempre que possível sermos conservadores, mas sem travar os processos e a busca pelos resultados.

Em um treinamento fui questionado sobre como era à 20 anos atrás sem normas e procedimentos de controles internos, compliance, segurança da informação e riscos, e simplesmente respondi que:

“Há anos atrás tínhamos um MNI (Manual de Normas Internas) e não possuíamos um leque de informações, sistemas (tecnologias) e empresas do porte atual, o mundo mudou e necessitamos nos adaptar as mudanças, pois não são somente hardwares e software que ficam obsoletos, as pessoas também, e quem não acompanhar será reconhecido como “dinossauro”, portanto as mudanças estão aí e os desafios são nossos, já pensou nisso?”.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013, professor de MBA Trevisan Escola de negócios entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”. www.massiconsultoria.com.br

Gestão de Controles Internos e Gestão de Riscos, o que devo fazer primeiro?

As empresas nos últimos tempos estão adequando a sua gestão com base em controles internos, compliance, riscos e segurança da informação, mas o que devemos fazer primeiro, levantar os riscos e implementar controles, ou mapear os processos, implementar controles e identificar os riscos depois?

Eu acho muito interessante isso, pois em conversas com colegas especialistas em controles e riscos, ficamos boquiabertos como falta ainda uma boa definição de como facilitar a gestão dos negócios, e já não é de hoje que falamos que antes de implementar controles, necessitamos conhecer o negócio, e quando evidenciamos negócios, dizemos processos, sistemas, produtos, pessoas e modelo de gestão.

Falar de gestão de riscos antes de implementar controles internos e contábeis é dar tiro no escuro em minha humilde opinião, pois quando iniciamos uma empresa, sempre visamos os controles contábeis, financeiros e alguns controles internos necessários para o negócio.

Para que tenhamos uma noção disso, muitas empresas ainda estão em processo de profissionalização dos controles internos e contábeis, mas falam de riscos e nem mapearam seus processos internos, e como estariam então seus controles, se não fazem a mínima ideia de quantos processos têm e para qual objetivo foi criado, e quem são os responsáveis, agora me respondam quais são os riscos?

Existem alguns questionamentos sobre maturidade de riscos e maturidade de controles. Podemos questionar em qual nível de maturidade de Controles Internos sua empresa se encontra?

ü  Nível 1 – Não Confiável: as atividades de controle não são mapeadas

ü  Nível 2 – Informal: os controles dependem principalmente das pessoas

ü  Nível 3 – Padronizado: as atividades de controle são mapeadas e implementadas

ü  Nível 4 – Monitorado: controles padronizados e com testes periódicos

ü  Nível 5 – Otimizado: utilização de automação e ferramentas para apoiar as atividades de C.I

Se somos sabedores que muitos dos controles são dependentes de quem os criou ou de quem os faz, e quando o “gestor do conhecimento” vai embora, quem dá continuidade no trabalho?

Então se somos frágeis em maturidade de controle imaginem na maturidade de riscos sem mapeamentos e processos definidos?

Portanto, acreditamos que controle interno deveria ser ponto inicial de cada projeto, produto, sistema, atividade e principalmente voltado para o negócio, mas em certos casos não é assim que acontece, colocamos o produto ou serviço na linha de produção e depois corremos atrás para entender como controlamos e se existem normas de órgãos reguladores ou normas internas que permitem a realização do projeto.

Na verdade no momento atual, falar que risco é mais importante que controle interno, que é mais importante que compliance ou que sejam mais importantes que segurança da informação, é justamente uma falácia, pois todas estas áreas tem sua importância na gestão, dependendo do momento e da situação que cada uma delas possui, mas sozinhas nada podem fazer.

E aqui deixo também evidente o grau de importância da auditoria na validação e verificação dos processos de controles, compliance, riscos e segurança da informação tão importantes na gestão dos negócios.

Portanto, devemos avaliar que na profissionalização da gestão e na busca de atendimento aos órgãos reguladores, devemos em minha opinião, mapear processos, identificar controles, validar compliances, identificar riscos e fazer a com que a empresa esteja em conformidade com regras estabelecidas na boa gestão de governança corporativa e sustentabilidade.

* Marcos Assi é consultor da MASSI Consultoria ganhadora do Premio Excelência e Qualidade Brasil 2013, Professor de MBA da disciplina de Controles Internos e Compliance da Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”. 

Disseminação da cultura de controles internos e melhoria de processos

Controles internos e compliance não são tão novos assim, mas a disseminação da cultura esbarra no desconhecimento ou no despreparo das pessoas sobre o assunto.

Sempre que falamos de compliance, lembramos que significa cumprir, executar, obedecer, observar e fazer cumprir que lhe as regras e regulamentos orientam, mas será só isso, será que não esta faltando alguma coisa?

Tenho conhecimento que muitas empresas ainda estão em processo de profissionalização dos controles internos e contábeis, pois controles elas até tem, mas não fazem a mínima ideia de quantos e para qual objetivo foi criado, e quem são os responsáveis.

Muitos dos controles são dependentes de quem criou e de quem faz, mas quando o “gestor do conhecimento” vai embora, quem da continuidade no trabalho? Quantas empresas desenvolvem sistemas internos sem a devida documentação de cada fase do projeto e com efetiva explicação por cada linha do executável, isso já é ponto padrão de auditorias, e o desenvolvedor vai embora, e infelizmente ninguém consegue dar manutenção no sistema.

Afinal controle interno deveria ser ponto integrante de cada projeto, produto, sistema, atividade e principalmente voltado para o negócio, mas em certos casos não é assim que acontece, colocamos o produto ou serviço na linha de produção e depois corremos atrás para entender como controlamos e se existem normas de órgãos reguladores ou normas internas que permitem a realização do projeto.

Anos atrás a função de controle era dos contadores e auditores, mas atualmente surgiram novas profissões como agente de compliance, analista de controles internos, analista de riscos, analista de segurança da informação, analista de continuidade de negócios, analista de contingencias operacionais, analista de infra, analista de rede sociais, analista de suporte, analista de help desk, entre outros, mas tudo isso vem de encontro à busca pela especialização de profissionais e obvio a tecnologia da informação como base de tudo, e como fica a auditoria neste novo processo?

Esta na busca por profissionais multidisciplinar com maiores conhecimento, mas e os gestores entendem tudo isso, será que não precisamos disseminar melhor o que é controles internos e modificar ou implementar melhorias nos processos com os gestores de áreas e/ou de negócios, pois a implementação de uma boa gestão de controles internos e compliance, demanda da participação de todos envolvidos na organização, afinal as regras existem, mas quem pratica são os gestores e colaboradores.

O bem da verdade é que a gestão de controles internos e compliance ainda necessitam de muito mais tempo para uma efetiva participação corporativa, é verdade que muitas empresas já estão com milhas de distancias, mas ainda existem empresas que estão em pleno processo de disseminação da cultura de controle e tem enfrentado obstáculos gigantescos, mas este é o tipo do caminho sem volta, ou adere agora, ou fica fora do mercado.

Posso dizer com toda a tranquilidade sobre este fenômeno, pois fiz nos últimos meses diversos workshops, palestras e treinamentos sobre o assunto justamente para os gestores e administradores, e oferecendo bases de argumentos para os profissionais de controles internos e compliance, pois quanto maior o conhecimento de quem executa a função, melhor a gestão dos negócios.

* Marcos Assi é consultor da MASSI Consultoria, professor do MBA de Gestão de Riscos e Compliance da Trevisan, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Agentes de Compliance, quando a capacitação é necessária

Controles InternosAcho interessante que sempre que falamos de compliance, fazemos referencias a palavra derivada do inglês do verbo “to comply”, que significa cumprir, executar, obedecer, observar e fazer o que lhe as regras e regulamentos impõe.

Há algum tempo atrás ao falar de compliance, muitas pessoas já faziam referencia aos bancos, e nos bancos a referencia era lavagem de dinheiro, mas será que não estávamos com pensamento muito restritivo para a função?

Acredito que sim, pois atualmente as grandes organizações, sejam elas financeiras e não financeiras descobriram que devem cumprir várias regras e legislações estabelecidas no mercado global tais como: Lei Sarbanes & Oxley, IFRS, acordo da Basiléia, controles internos e compliance, prevenção a lavagem de dinheiro e financiamento ao terrorismo, governança corporativa, governança de TI, segurança da Informação, continuidade de negócios, gestão de riscos, entre outros, mas a questão é como administrar tudo isso de maneira responsável e com eficácia?

Vai faltar braço, e posso até sem medo de errar, comentar que a gestão de compliance é responsabilidade de todos na organização, cada colaborador tem sua parcela de responsabilidade, mas como fazer uma gestão de negócios alinhada a gestão de compliance?

Acreditamos que somente ao criar uma área de compliance que possa suportar a administração e o negócio, com base na busca de alinhamento das regras externas (órgãos reguladores), das regras de nossa matriz e além das regras internas que são implementadas para gerar maior segurança na gestão, não seja suficiente.

Por isso algumas organizações estão investindo na formação de agentes de compliance, que em muitos casos são profissionais das próprias áreas de negócio, que são capacitados para melhor entender a função da atividade.

Vale salientar que esta profissão existia há pouco tempo atrás, e existem muitas duvidas no entendimento de suas funções seja por quem faz a gestão, seja por que necessita deste suporte operacional de conformidade, e como muitos profissionais observam: “não tenho tempo de fazer o que minha atividade demanda, imagina ficar observando legislação e montando normas e procedimentos”.

Afinal a não realização e cumprimento dessas normativas podem trazer prejuízos, suspensão de atividades, sanções, penalidades e denegrir a reputação e imagem de uma marca ou de uma empresa.

Mas normalmente a alta administração trabalha com assuntos macros com foco nas decisões e não tem condições de perceber desvios, falhas ou erros gerenciais e principalmente os riscos operacionais, por isso, poderíamos considerar o Compliance como os olhos da Alta Administração, função esta que anos atrás já foi da auditoria interna, que não deixou de ser, mas ganhou um aliado.

A função corporativa do profissional de Compliance deve estar alinhado com a missão, visão e valores estabelecidos à organização pela Alta Administração e o papel funcional do profissional de Compliance esta relacionado ao exercício do cumprimento das melhores práticas, das normas, leis, controles internos e de governança corporativa, tudo isto, centrado na aplicação de um bom Programa de Compliance, e com a implementação de um bom código de conduta e ética, não só no papel, mas na mudança da postura das pessoas.

O agente de compliance será aquele profissional que estará alinhado com os negócios e com certeza estando mais próximo da atividade, oferecerá maior segurança para quem exerce as funções administrativas e para quem faz a gestão dos negócios, de riscos, segurança e governança da organização.

* Marcos Assi é consultor da MASSI Consultoria, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Terceirização – Transferindo a atividade e mantendo os riscos

Quando falamos de terceirizar uma atividade (outsourcing), aqui falamos sobre atividades de gestão, pensamos em transferir as atividades e demais procedimentos para a empresa que contratamos e ainda têm empresas que acreditam que transferiram o risco também, mas estão enganadas.

Ao contratar um terceiro, seja ele prestador de serviços, consultor, assessor ou tutor (coaching), devemos atentar que o cliente necessita transmitir-lhe todas as informações necessárias para a execução de sua atividade, mas isso não acontece na prática, pelo contrario, as informações deve ser desbravadas durante o trabalho e mesmo assim, são insuficientes.

A questão terceirização é complexa e muitos confundem com serviços de recepção, limpeza, segurança, transporte, mas neste caso estamos evidenciando aqueles que prestam serviços de suporte a gestão, tais como governança corporativa, governança de TI, gestão de continuidade de negócios, contábil, tributária, compliance, auditoria, segurança da informação, gestão de riscos operacionais, cível, trabalhista, entre outras possibilidades.

A percepção que temos é que o gestor e/ou administrador, desconhece na profundidade seu negócio e possibilidades que proporciona, alguns relatórios são falhos, em certos casos as pessoas omitem informações ou fazem de qualquer jeito, e o terceiro é quem é responsabilizado.

Ao contratar um terceiro a intenção é que de ele possa dar suporte ao seu negócio, orientá-lo e caso haja interesse, sugerir mudanças nos procedimentos internos, mas por experiência própria, identificamos processos falhos, profissionais despreparados ou mal conduzidos, relatórios que dificilmente passam informações confiáveis e obvio, quando não dá certo, a culpa é do consultor, triste modo de ver o processo.

Devemos demonstrar a todos que as atividades de consultoria, fato tão comum no dia de hoje, devem ser de suporte para a organização por não possuir profissionais internos que possam suprir esta necessidade por motivo da especialização do profissional contratado, e aproveitar este momento para que haja a transferência de conhecimento e que possa aprimorar os procedimentos internos, mas e os riscos? De quem é a responsabilidade na gestão deles?

A gestão de riscos é da organização, pois as atividades podem ser realizadas por quem a organização quiser, entretanto a tomada de decisão e a apetite de riscos é da alta administração, por ser uma ação de grande responsabilidade e não pode ser tomada por qualquer pessoa e nem pelo terceiro, que neste caso o terceiro pode ser um agente de orientação.

Sem contar um outro pequeno problema, que é a questão do risco legal, que não podemos deixar de lado, que a organização é co-responsável pelos profissionais que são colocados em nossa atividade, devemos nos preocupar com o contrato, período de prestação de serviços, quem esta representado a empresa contratada e obter informações das atividades realizadas, para que as mesmas estejam em conformidade com o serviço contratado.

O assunto terceirização é polemico e contraditório, mas existe com o propósito, proporcionar e inserir conhecimento de assuntos dos quais a organização não possui em seu quadro ou mesmo possuindo a quantidade de recursos não é o suficiente para suprir a necessidade. Portanto, devemos entender que se as organizações tivessem tudo em ordem, o consultor seria contratado para que? Mas, contratar um terceiro o objetivo é melhorar ou implementar mudanças nos procedimentos ou processos operacionais, mas o risco continua sendo de quem contratou.

Gestão de riscos com controles internos

Mesmo que não os extingua por completo, prática tem mais condições de minimizar riscos. Para isso, as áreas da empresa precisam se comunicar

Que em todos os mercados existem riscos, não é novidade. Assim como o fato de que é necessário identificá-los, mensurá-los e preveni-los, de preferência com dispositivos dentro da própria empresa – premissas nem sempre facilmente aceitas pelo empresariado. Ainda há quem veja os controles internos de gestão de risco como custos, os quais, invariavelmente, sempre são reduzidos.

“É assustador, não é? As empresas não veem a gestão de riscos como possibilidade de reduzir perdas. Somente se lembram dela em casos de fraudes, perdas de dados de sistemas, problemas com segurança da informação, sucessão de pessoas-chave, etc. A cultura do jeitinho, infelizmente, continua com frases como: ‘Vai fazendo, depois pensamos como controlar’ ou ‘O auditor falou, mas quem manda aqui sou eu’, e assim por diante”, observa Marcos Assi, sócio-diretor da Daryus Consultoria.

O especialista, autor do livro Gestão de riscos com controles internos (ed. Saint Paul), destaca que os profissionais que atuam na área de gestão de riscos brincam com o hábito de serem lembrados apenas para extinguir incêndios, quase nunca pelo sucesso na prevenção ou criação de controles para evitar que os incêndios aconteçam.

Ele aponta que o fato de as áreas internas de uma empresa não se comunicarem torna ainda mais difícil qualquer processo de integração ou controle. “Já prestei serviços e trabalhei em grandes instituições nas quais as áreas de compliance, controles internos, segurança da informação, riscos e controladoria não alinhavam as necessidades. Mal sabem eles que a gestão de riscos só funciona com a força do conjunto, ninguém faz nada sozinho. Falta humildade de reconhecer as falhas, defeitos e necessidade de melhorias”, garante.

Com a corda no pescoço

Na prática, em muitos casos, os avanços nessa área só entram em pauta quando existe uma grande crise, como a quebra do banco Panamericano, em 2010. Foi quando até mesmo veículos de comunicação, desacostumados a abordar o tema, saíram a campo em busca de especialistas que pudessem explicar como aquilo pode ter acontecido, se o Banco Central, teoricamente, tinha as ferramentas de gestão para detectar quaisquer problemas em uma instituição financeira.

Mesmo que os controles internos não extinguam completamente os riscos, têm como pressuposto minimizá-los. Talvez porque, no Brasil, o tamanho do Estado seja visto como um empecilho ao desenvolvimento, sempre que a palavra “controle” é citada, soa na cabeça do empresário um alarme: burocracia. “Controle de gestão de riscos é, em certos casos, burocracia, sim, mas não basta ter políticas, necessitamos exercitá-las. Afinal, muitos já leram a Bíblia, mas poucos a praticam. Gestão de riscos e controles internos, infelizmente, funcionam assim: escrevemos, publicamos, divulgamos, mas as pessoas não querem praticar”, analisa Assi.

Tecnologia exige ainda mais controle

O medo da gestão de riscos vira pavor quando se pensa que, na era da informação, o principal ativo de uma empresa pode não ser um bem material. Há algum tempo, manejar riscos de empresas que mexiam com tecnologias da informação era bloquear sites, e-mails pessoais, sites de relacionamento.

Como a evolução é um trem desgovernado, com o aparecimento de smartphones, iPads, iPhones e outros dispositivos móveis, a tarefa se tornou quase inglória, mas necessária. Virou um dos grandes campos de batalha para evitar fraudes, perdas de dados e crises empresariais ou sistêmicas. “É difícil acompanhar mesmo. Processamos milhões de bites diariamente”, reconhece Assi. “A questão é cultural e operacional. Os profissionais de diferentes áreas necessitam buscar e acompanhar as mudanças, pois hoje o mundo é virtual, nas nuvens”, conclui.

Entrevista de Marcos Assi para o Portal HSM